email-mryoba@cock.li.ver-CS 1.6.id-.fname

[de_crag]

Здравствуйте, та же проблема... сможете помочь? (email-mryoba@cock.li.ver-CS 1.6.id-.fname-имя файла)

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы.

История Хлебокомбината.zip

[Sandor]

Здравствуйте!

 

Порядок оформления запроса о помощи

[thyrex]

Расшифрованные файлы https://www.sendspace.com/file/cqvnnv

 

Расшифровка будет выдана по окончании проверки компьютера на вирусы.

[de_crag]

Спасибо за расшифровку, а можно поинтересоваться, как расшифровываете и как мне расшифровать остальные файлы(довольно много... несколько десятков Гб)?

[thyrex]

Я же написал - получите все после выполнения написанного в сообщении №2 и очистки системы от мусора.

[de_crag]

спасибо

CollectionLog-2019.09.22-20.28.zip

report2.log

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\windows\web\taskhost.exe','');
 QuarantineFile('c:\windows\addins\svchost.exe','');
 DeleteFile('c:\windows\addins\svchost.exe','32');
 DeleteFile('c:\windows\web\taskhost.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Task host','x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Host Process','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Host Process','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-66487639-2094692341-338408741-1003\Software\Microsoft\Windows\CurrentVersion\Run','Host Process','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Host Process','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-66487639-2094692341-338408741-1003\Software\Microsoft\Windows\CurrentVersion\Run','Host Process','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[de_crag]

 

 

 

Результат загрузки

 

Файл сохранён как

 

190923_194242_quarantine_5d8920325300f.zip

 

Размер файла

 

27773

 

MD5

 

c511657123070a5fa7bfc94b3b4f279f

 

Файл закачан, спасибо!

 

 

 

[thyrex]

До конца дочитывайте

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[de_crag]

Извиняюсь

CollectionLog-2019.09.24-20.59.zip

[thyrex]

Все пароли смените. У Вас был обнаружен кейлоггер.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[de_crag]

,

Addition.zip

[thyrex]

У Вас поработали два шифратора. Поэтому расшифровка будет идти в 2 этапа.

Проверьте ЛС.

[de_crag]

Благодарю! Первый этап отработал. (Может я поторопился , но фото и документы ворд, эксель открываются), жду второй.

[thyrex]

Вы все файлы расшифровали или выборочно? После первого этапа у Вас должны остаться зашифрованные файлы с расширением .tos, которые точно не откроются после первого этапа.